Ссылаясь на исследование Trend Micro, Softpedia предупреждает о существовании нового семейства Android-зловредов, способных получать права root на мобильных устройствах без ведома пользователя. По свидетельству экспертов, вредоносное ПО Godless опасно для девяти десятых смартфонов и планшетов, работающих под операционной системой Google.

Распространяется Godless в основном в тандеме с легитимной утилитой или копией популярной игры. Как оказалось, такой «довесок» можно получить не только в неофициальном магазине, но и на Google Play. Исследователи также обнаружили на Google Play уйму «чистых» приложений, у которых в дикой природе (но не в магазине Google!) есть вредоносные версии, подписанные тем же сертификатом разработчика. Апгрейд используемого приложения в таком случае может обернуться большими неприятностями, если его произвести — против установленных правил — не через Google Play.

Для рутования Godless, по свидетельству Trend Micro, использует фреймворк android-rooting-tools с открытым исходным кодом, опубликованный на GitHub. Эта коллекция эксплойтов содержит такие известные инструменты, как PingPongRoot (для CVE-2015-3636) и Towelroot (для CVE-2014-3153). Анализ исходников Godless показал, что его портфеля достаточно, чтобы проводить атаки на все версии Android вплоть до Lollipop (5.1). На настоящий момент это около 90% пользовательской базы.

Примечательно, что ранние варианты Godless, по данным Trend Micro, осуществляли эксплойт локально, с помощью бинарного кода libgodlikelib.so. При этом зловред ждал, когда жертва выключит экран, и лишь после этого пускал в ход эксплойт для получения прав суперпользователя, а при успехе грузил зашифрованный целевой файл, который было трудно удалить. Позднее была обнаружена версия Godless, получавшая эксплойт и полезную нагрузку с командного сервера, — видимо, внешний источник был введен, чтобы обойти защитные проверки Google Play.

В качестве полезной нагрузки Godless прежде загружал системное приложение — клон клиента Google Play, воровавший идентификаторы пользователя, чтобы беспрепятственно загружать и устанавливать другие приложения из этого магазина. Новейшая версия зловреда с этой целью открывает на устройстве бэкдор с root-доступом.

По оценке Trend Micro, к настоящему времени Godless мог заразить не менее 850 тыс. Android-устройств по всему миру. Большинство из них принадлежат жителям Индии (46,19%), Индонезии (10,27%) и Таиланда (9,47%).

Категории: Аналитика, Вредоносные программы, Главное